Oracle Java SE 重要补丁更新公告 — 2011 年 10 月


说明

重要补丁更新是针对多个安全漏洞的补丁集合。这个 Java SE 重要补丁更新还包含非安全性修复程序。重要补丁更新是累积式的,每个公告只描述自上一个重要补丁更新以来添加的安全修复程序。因此,要了解有关以前累积的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见:

重要补丁更新和安全警报,获得有关 Oracle 安全公告的信息。


考虑到攻击得逞所带来的威胁,Oracle 强烈建议用户尽快应用 CPU 修复程序。 该重要补丁更新包含 Java SE 上的 20 个新安全修复程序,其中 6 个适用于 JRockit。

受影响的支持产品

该重要补丁更新所解决的安全漏洞影响以下按类别列出的产品。请单击“可用补丁”列中或可用补丁表中的链接,查看这些补丁的文档。

受影响的产品和版本:

Java SE可用补丁
JDK 和 JRE 7Java SE
JDK 和 JRE 6 Update 27 及早期版本Java SE
JDK 和 JRE 5.0 Update 31 及早期版本Java SE
SDK 和 JRE 1.4.2_33 及早期版本Java SE
JavaFX 2.0JavaFX
JRockit R28.1.4 及早期版本(JDK 及 JRE 6 和 5.0)JRockit

可用补丁表与风险表

该更新中的 Java SE 和 JRockit 修复程序是累积式的;最新的重要补丁更新包括自上一重要补丁更新以来的所有修复程序。

可用补丁表

产品分组风险表可用补丁和安装信息
Oracle Java SEOracle JDK、JRE 和 JRockit 风险表


风险表内容

风险表只列出与公告涉及到的补丁新修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。

该重要补丁更新提出的几个漏洞影响着多个产品。

安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的可能结果的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析自己的风险。出于政策方面的原因,Oracle 不会透露有关可能会导致漏洞利用得逞的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁文档、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。

解决方法

考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序,则无法通过限制攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,删除无特权用户的权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。

漏掉的重要补丁更新

Oracle 强烈建议客户尽快应用修复程序。对于漏掉了一个或多个重要补丁更新公告的客户,请查看之前的公告以确定要采取的行动。

不受支持的产品和版本

没有对不受支持的产品和版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。因此,Oracle 建议客户将其 Oracle 产品升级至受支持的版本。

对于不再支持的产品版本,未提供重要补丁更新补丁。我们建议客户升级至最新的受支持的 Oracle 产品版本,以获取补丁。

致谢声明

该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告:Adam Barth;Tipping Point 的零时差项目的 axtaxt;Eric Rescorla;Juliano Rizzo;Michael Schierl,通过 Tipping Point;Neal Poole;IBM Rational Application Security Research Group 的 Roee Hay;Tipping Point 的零时差项目的 Sami Koivu;Thai Duong;以及 IBM Rational Application Security Research Group 的 Yair Amit。

Oracle Java SE 重要补丁更新日程表

Oracle Java SE 重要补丁更新接下来的三个更新日期为:

  • 2012 年 2 月 14 日
  • 2012 年 6 月 12 日
  • 2012 年 10 月 16 日

参考资料


修改记录


日期注释
2011 年 10 月 18 日修订版 1 初始版本

 



附录 — Oracle Java SE

 

Oracle Java SE 执行概要


该重要补丁更新包含 20 个适用于 Oracle Java SE 的新安全修复程序,其中 19 个漏洞无需身份验证即可远程利用,即可以通过网络使用该漏洞而无需用户名和口令。

以下 CVSS 评分假定运行 Java 小程序或 Java Web Start 应用程序的用户拥有管理员权限(这是 Windows 上的典型情况)。如果用户未以管理员权限运行(Solaris 和 Linux 的典型情况),则对机密性、完整性以及可用性的对应 CVSS 评分的影响是“部分”而非“全”,降低了 CVSS 基本评分。例如,基本评分 10.0 变成 7.5。

对于部署中的问题,仅提供了针对 JDK 和 JRE 7 和 6 的修复程序。用户应使用最新 JDK 和 JRE 版本 7 或 6 中的默认 Java 插件和 Java Web Start。

 

My Oracle Support 说明 360870.1 解释了 Java 安全漏洞对包括 Oracle Java SE JDK 或 JRE 的 Oracle 产品的影响。

 

 

Oracle JDK、JRE 和 JRockit 风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2011-3548Java Runtime Environment多种AWT10.0网络JDK 和 JRE 7、6 Update 27 及之前版本,5.0 Update 31 及之前版本,1.4.2_33 及之前版本参见注释 1
CVE-2011-3521Java Runtime Environment多种反序列化10.0网络JDK 和 JRE 7、6 Update 27 及之前版本,5.0 Update 31 及之前版本参见注释 1
CVE-2011-3554Java Runtime Environment多种Java Runtime Environment10.0网络JDK 和 JRE 7、6 Update 27 及之前版本,5.0 Update 31 及之前版本参见注释 1
CVE-2011-3544Java Runtime Environment多种编写脚本10.0网络JDK 和 JRE 7、6 Update 27 及之前版本参见注释 1
CVE-2011-3545Java Runtime Environment多种声音10.0网络JDK 和 JRE 6 Update 27 及之前版本,5.0 Update 31 及之前版本,1.4.2_33 及之前版本。
JRockit R28.1.4 及之前版本		参见注释 2
CVE-2011-3549Java Runtime Environment多种Swing10.0网络JDK 和 JRE 6 Update 27 及之前版本,5.0 Update 31 及之前版本,1.4.2_33 及之前版本参见注释 1
CVE-2011-3551Java Runtime Environment多种2D9.3网络JDK 和 JRE 7、6 Update 27 及之前版本。
JRockit R28.1.4 及之前版本		参见注释 2
CVE-2011-3550Java Runtime Environment多种AWT7.6网络JDK 和 JRE 7、6 Update 27 及之前版本参见注释 1
CVE-2011-3516Java Runtime Environment多种部署7.6网络Windows 上的 JDK 和 JRE 6 Update 27 及之前版本参见注释 1
CVE-2011-3556Java Runtime Environment多种RMI7.5网络部分部分部分JDK 和 JRE 7、6 Update 27 及之前版本,5.0 Update 31 及之前版本,1.4.2_33 及之前版本。
JRockit R28.1.4 及之前版本		参见注释 3
CVE-2011-3557Java Runtime Environment多种RMI6.8网络部分部分部分JDK 和 JRE 7、6 Update 27 及之前版本,5.0 Update 31 及之前版本,1.4.2_33 及之前版本。
JRockit R28.1.4 及之前版本		参见注释 3
CVE-2011-3560Java Runtime EnvironmentSSL/TLSJSSE6.4网络部分部分JDK 和 JRE 7、6 Update 27 及之前版本,5.0 Update 31 及之前版本,1.4.2_33 及之前版本参见注释 1
CVE-2011-3555Java Runtime Environment多种Java Runtime Environment6.1网络部分JDK 和 JRE 7参见注释 1
CVE-2011-3546Java Runtime Environment多种部署5.8网络部分部分JDK 和 JRE 7、6 Update 27 及之前版本。
JavaFX 2.0		参见注释 1
CVE-2011-3558Java Runtime Environment多种HotSpot5.0网络部分JDK 和 JRE 7、6 Update 27 及之前版本参见注释 1
CVE-2011-3547Java Runtime Environment多种联网5.0网络部分JDK 和 JRE 7、6 Update 27 及之前版本,5.0 Update 31 及之前版本,1.4.2_33 及之前版本参见注释 1
CVE-2011-3389Java Runtime EnvironmentSSL/TLSJSSE4.3网络部分JDK 和 JRE 7、6 Update 27 及之前版本,5.0 Update 31 及之前版本,1.4.2_33 及之前版本。
JRockit R28.1.4 及之前版本		参见注释 4
CVE-2011-3553Java Runtime Environment多种JAXWS3.5网络一次性部分JDK 和 JRE 7、6 Update 27 及之前版本。
JRockit R28.1.4 及之前版本		参见注释 5
CVE-2011-3552Java Runtime Environment多种联网2.6网络部分JDK 和 JRE 7、6 Update 27 及之前版本,5.0 Update 31 及之前版本,1.4.2_33 及之前版本参见注释 1
CVE-2011-3561Java Runtime Environment多种部署1.8邻近网络部分JDK 和 JRE 7、6 Update 27 及之前版本。
JavaFX 2.0		参见注释 1
 

 

注:

  1. 仅适用于 Java 的客户端部署。该漏洞仅可通过不受信任的 Java Web Start 应用程序和不受信任的 Java 小程序利用。(不受信任的 Java Web Start 应用程序和不受信任的小程序以有限权限运行在 Java 沙盒中。)
  2. 适用于 Java 的客户端和服务器部署。该漏洞可通过不受信任的 Java Web Start 应用程序和不受信任的 Java 小程序利用。它还可以通过向指定组件中的 API 提供数据而利用,无需使用不受信任的 Java Web Start 应用程序或不受信任的 Java 小程序,如通过 Web 服务。
  3. 仅适用于 Java 的 RMI 服务器部署。
  4. 这是 SSLv3/TLS 1.0 协议中的一个漏洞。利用此漏洞需要中间人且攻击者需要能够注入选定的明文。
  5. 仅适用于 Java 的服务器部署。该漏洞仅可以通过向指定组件中的 API 提供数据而利用,如通过 Web 服务。它不能通过不受信任的 Java Web Start 应用程序或不受信任的 Java 小程序利用。